威胁狩猎:从被动防御到主动出击 | Elastic Security 实践系列之 <引言与规划>(一)
适用人群
安全分析师、信息安全人员、安全运维人员、对主动安全防御感兴趣的技术人员;
涵盖内容
基于Elastic Stack 技术栈实现中大型安全威胁狩猎,理论与实践结合;
为什么需要威胁狩猎
网络威胁演变,传统防御力不从心
瞬息万变的网络安全领域,攻击者的手段日益复杂,他们不再满足于简单的恶意软件攻击,而是采用无文件攻击、内存注入、隐蔽通信、供应链攻击等高级战术,旨在规避传统的安全防御机制。防火墙、杀毒软件(AV)、入侵检测/防御系统(IDS/IPS)等传统安全工具,虽然在抵御已知威胁方面功不可没,但它们本质上是被动响应的——它们主要依赖于已知的签名、规则或简单的行为模式来识别威胁。当面对零日漏洞利用,高级持续性威胁 (APT),隐蔽的内部威胁时。传统的防御体系往往会陷入“盲区”,无法有效识别这些“隐形”的威胁。攻击者可能在您的网络中长时间潜伏(即“驻留时间”Dwell Time),窃取数据、破坏系统,而您却浑然不觉。
主动出击
就像是安全领域的“侦察兵”或“猎人”。它是一种主动的、假设驱动的、迭代的网络安全活动。威胁猎人不是坐等警报响起,而是积极地在海量的网络、端点、云和身份数据中搜索、挖掘、分析,以期发现那些已经绕过或能够绕过现有安全防御的隐藏的、未被检测到的威胁。
传统安全与威胁狩猎的区别
选择一个合适的工具(推荐原因:开源免费/高度集成/性能强悍)
ELK stack 技术栈 Elasticsearch、Logstash、Kibana)Elastic security 需要使用的核心组件如下:
- Elasticsearch:一个分布式、开源的搜索和分析引擎,基于 Apache Lucene 构建。它能够近乎实时地存储、检索和分析海量数据,它是所有安全数据的中央存储库。无论是来自端点的日志、网络流量记录、身份认证事件还是云平台的审计日志,都将被索引并存储在 Elasticsearch 中。其强大的搜索和聚合能力是快速查找威胁线索、进行关联分析的基础。
- Kibana : 开源的数据可视化和探索工具,专为 Elasticsearch 设计。它提供了一个用户友好的界面,用于查询、分析和可视化 Elasticsearch 中的数据,Kibana 内置的 Elastic Security 应用是威胁狩猎的主要工作台,提供专门的视图用于检测管理、事件时间线分析、案例管理、主机和网络视图等。
- Elastic Agent:统一端点数据收集:简化了在端点部署和管理多个数据采集器的复杂性。一个 Elastic Agent 即可收集进程、文件、网络、注册表等丰富而细粒度的端点安全事件数据,这是进行高级威胁狩猎的关键。
Elastic Security 是在整个 Elastic Stack 技术栈之上构建的一个解决方案层,专为安全用例设计。它整合了 Elasticsearch 的数据存储和分析能力、Kibana 的可视化和应用界面、以及 Elastic Agent 的端点数据收集和安全功能。
